网站空间域名

CloudFlare开启HTTP严格传输安全(HSTS)



HTTP Strict Transport Security (通常简称为HSTS, RFC 6797) 是一项网络安全技术,旨在帮助安全的HTTPS的Web服务器免受降级攻击。虽然HSTS能有效抵御网络攻击,但由于部署它相对困难导致这项技术尚未被广泛采用。CloudFlare的目的是改变这一点。

降级攻击(也称为SSL剥离攻击)是Web应用程序的严重威胁。这种类型的攻击是借助中间人发动攻击,攻击者可以将网页浏览器从一个正确配置的HTTPS Web服务器重定向到受Web攻击者控制的Web服务器。一旦攻击者成功地重定向用户,用户的个人隐私数据,包括Cookies,都可能会受到侵害。因为纯粹的SSL加密办法无法抵御这种攻击,所以才催生了HSTS技术。

SSL剥离攻击: 绕过SSL的保护然后发动攻击。

HSTS工作原理: 强制客户端使用 HTTPS 访问网站。过程如下:

  1. 用户第一次访问开启了 HSTS 功能的网站

  2. 在浏览器中留下一个包含max-age的HSTS缓存Strict-Transport-Security

  3. 用户在max-age保质期内再次访问网站,浏览器就会根据缓存中的HSTS设置自动跳转到HTTPS页面

CloudFlare提供的HSTS配置参数如下:

  • Enable HSTS (Strict-Transport-Security): On/Off.

  • Max Age (max-age): 即HSTS缓存的“生存时间”。一般建议设置成6个月,这样才能获得 Qualys SSL Labs 的 A+ 评级。Web浏览器会缓存和执行政策HSTS此值的持续时间。如果你将这个值设置为“0”,将会禁用HSTS功能。

  • Apply HSTS Policy to subdomains (includeSubDomains): 将HSTS网站策略应用到每个子域名。

有一点需要注意,一旦该网站的HSTS设置在你的浏览器上生效,你就只能通过HTTPS方式访问该网站。如果HTTPS的433端口被封闭或者安全证书过期,你的网站就无法访问了。所以,你需要建立一个长期稳定的SSL配置。 好在CloudFlare默认的SSL设置与HSTS完美兼容,很多问题也就迎刃而解了。

使用CloudFlare开启HSTS,你只需要登录到您的CloudFlare帐户在控制面板>Crypto>HTTP Strict Transport Security (HSTS) 点击开启HSTS并设置好相关参数就可以了。

测试网站的SSL安全等级: 进入 https://www.ssllabs.com/ssltest/ ,输入你的网站域名就可以给你的网站做一次全面的SSL检查。

将网站域名提交到 HSTS Preload: 你可以先在CloudFlare开启HSTS Preload功能,然后将你的域名提交到 HSTS Preload List 等待审核通过。审核通过后,你的域名就会跟随此列表被推送到新版本的 Chrome, Firefox/Mozilla 和 Safari 浏览器中,从而实现更安全的HTTPS预加载。


相关网站空间域名

avatar

企业网站改版需要了解的知识

网站改版是每个网站都会经历的过程,因为没有网站都没有办法做到始终不变,网站一定要满足用户的需求的,但是我们的用户并不固定,在用户的需求上也会不断的进行变化,所以网站需要根据这些变化而做出相应的调整。企业网站改版需要了解的知识通常情况下,按照...

avatar

自适应网页设计原理

随着3G的普及,越来越多的人使用手机上网。移动设备正超过桌面设备,成为访问互联网的最常见终端。于是,网页设计师不得不面对一个难题:如何才能在不同大小的设备上呈现同样的网页?手机的屏幕比较小,宽度通常在600像素以下;PC的屏幕宽度,一般都在...

avatar

pc网站改造实现移动端适配

现如今随着智能手机的不断发展,移动端搜索的比例也在不断增加,而传统的PC站点在手机端的用户体验度很差,这容易导致大量用户的流失,所以做一个对应的手机站是非常有必要的。如今,手机站已经逐渐成为一种潮流,基本上有点规模的PC站点都会制作相应的手...

avatar

WordPress打开慢 需要替换谷歌字体

我们的Wordpress站长可能都发现了,自己的网站打开特别慢,尤其是登录了后台的时候,好久才能加载完成,这是由于谷歌打开速度慢引起的,开始并没有在意,但是越来越多的wordpress用户反映这个问题,所以特意关注了一下,发现网上也是有很多...

avatar

Nginx环境下的SSL证书(https)安全设置

使用最新版本的openssl禁用SSLv2 和 SSLv3这两个协议都是不安全的, 我们应该在服务器上禁用这两个协议。添加一下代码到网站的配置文件, lnmp的网站配置文件位于 /usr/local/nginx/conf/vhost 目录s...

华科精品服务

是你在营销推广、品牌树立、产品优化中不可或缺的!